信息技术服务外包人员安全管理细则 1 总则 1 .1 目的 为规范本公司对外包服务人员的信息安全管理工作,明确相关部门和人员职责,使信息技术外包服务纳入制度化、规范化管理,特制定本管理细则。 1 .2 适用范围 本规范适用于《名称》管理服务中心对外包服务商及外包服务人员的管理。 2 术语和定义 术语 定义 信息技术服务 供方为需方提供开发、应用信息技术的服务,以及供方以信息技术为手段提供支持需方业务活动的服务。 注:一般包括咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数据内容服务及其他信息技术服务。 服务外包 以签订合同的方式,委托其他机构承担信息技术服务的商业行为。 外包服务商 服务外包中承担信息技术服务的机构 外包服务人员 提供信息技术服务的外包服务商人员。 外包服务责任人 负责管理外包服务人员或协调外包项目相关事务的对接人员。 3 外包安全管理基本原则 在信息技术服务外包活动中,应遵循以下信息安全管理基本原则: (一) 责任延展原则。信息安全管理责任不随服务外包而转移,无论《名称》数据和业务是位于自身信息系统还是外包服务商的信息系统上,XXX 都是信息安全的最终责任人。 (二) 领导决策原则。信息技术外包应获得《名称》服务外包主管领导的支持、批准和授权。 (三) 风险控制原则。责任人员应始终关注信息技术服务外包可能带来的信息安全风险,并能够及时应用风险控制措施。 (四) 监督检查原则。运维部应对信息技术服务活动进行监管,并接受信息安全主管部门的监督检查。 (五) 数据归属关系不变。XX 公司提供给外包服务服务商的数据、设备等资源,以及外包服务过程中收集、产生、存储的数据和文档等资源属 XX 公司所有。外包服务商应保障XX 公司对这些资源的访问、利用、支配,未经XX 公司授权,外包服务商和任何第三方不得访问、修改 、披 露 、利用、转让 、销 毁 。 4 角色与职责 4 .1 主管领导 XX 公司领导小 组 担 任信息技术外包服务信息安全管理的最高 管理机 构 ,承 担 外包活动的信息安全管理总 职 责,对外包活动中的信息安全相关事项具 有一票 否 决权。主管领导具 有以下职 责: (一) 根据XX 公司的信息安全管理总体框架,批准服务外包信息安全管理策略。 (二) 授权并支持相应的服务外包接口人具体管理外包活动的信息安全。 (三) 提供并保障服务外包信...
